Questionario di Assessment della Cybersecurity Aziendale

Valuta il livello di maturità della tua organizzazione rispetto al NIST Cybersecurity Framework 2.0

Email di Contatto *

ID.AM

ID.BE

ID.GV

ID.RA

ID.SC

Nome Società *

NIST Cybersecurity Framework 2.0

IDENTIFY (ID)

ID.AM – Asset Management

Gli asset (dati, personale, dispositivi, sistemi e infrastrutture) che consentono all'organizzazione di raggiungere i propri obiettivi aziendali sono identificati e gestiti in modo coerente con la loro importanza relativa per gli obiettivi aziendali e la strategia del rischio dell'organizzazione.

ID.AM-1: È disponibile e aggiornato un inventario dell'hardware gestito dall'organizzazione? *

Server, PC, notebook, dispositivi mobili, apparati di rete (router, switch, firewall, access point), stampanti e qualsiasi altro dispositivo fisico gestito, ecc.

Sì, inventario completo e aggiornatoParzialmenteNo, non ancora

ID.AM-2: È disponibile e aggiornato un inventario del software, dei servizi e dei sistemi gestiti dall'organizzazione? *

Sistemi operativi, applicativi, database, middleware, servizi SaaS e cloud sottoscritti dall'organizzazione, ecc.

Sì, inventario completo e aggiornatoParzialmenteNo, non ancora

ID.AM-3: Esistono schemi o diagrammi aggiornati che documentano i flussi di dati e le comunicazioni di rete, sia interni che verso l'esterno dell'organizzazione? *

Topologie di rete, diagrammi dei flussi dati tra sistemi interni, verso fornitori, servizi cloud o partner esterni, ecc.

Sì, completamente mappatiParzialmenteNo, non ancora

ID.AM-4: È disponibile un inventario dei servizi forniti da soggetti esterni (fornitori, outsourcer, partner)? *

Servizi in outsourcing, manutenzione hardware/software gestita da terzi, servizi cloud erogati da fornitori, connettività, ecc.

Sì, inventario completo e aggiornatoParzialmenteNo, non ancora

ID.AM-5: Gli asset sono classificati e prioritizzati in base alla loro criticità e all'impatto sulla missione aziendale? *

Classificazione dei dati (pubblici, riservati, critici), sistemi mission-critical, valutazione dell'impatto in caso di compromissione o interruzione, ecc.

Sì, classificati e prioritizzatiParzialmenteNo, non ancora

ID.AM-6: I ruoli e le responsabilità in materia di cybersecurity sono definiti, comunicati e applicati per tutto il personale e i soggetti terzi? *

CISO, responsabili IT, referenti per la sicurezza, fornitori e partner con accesso ai sistemi, procedure di escalation, ecc.

Sì, definiti, comunicati e applicatiParzialmenteNo, non ancora

ID.AM-7: È disponibile un inventario dei dati trattati dall'organizzazione, comprensivo dei relativi metadati? *

Tipologie di dati (personali, finanziari, operativi), classificazione, localizzazione (on-premise o cloud), proprietario del dato, livello di sensibilità, ecc.

Sì, inventario completo e aggiornatoParzialmenteNo, non ancora

ID.AM-8: I sistemi, l'hardware, il software, i servizi e i dati sono gestiti in modo documentato lungo tutto il loro ciclo di vita? *

Processi di acquisizione, configurazione, aggiornamento, manutenzione e dismissione sicura degli asset digitali e fisici, ecc.

Sì, gestiti in modo documentatoParzialmenteNo, non ancora

ID.AM

ID.BE

ID.GV

ID.RA

ID.SC

NIST Cybersecurity Framework 2.0

IDENTIFY (ID)

ID.BE – Business Environment

L'organizzazione comprende la propria missione, gli obiettivi, le parti interessate e le attività. Queste informazioni vengono utilizzate per definire i ruoli, le responsabilità e le decisioni in materia di gestione del rischio di cybersecurity.

ID.BE-1: Il ruolo dell'organizzazione nella catena di fornitura (supply chain) è identificato e comunicato? *

Ruolo come cliente, fornitore, partner o operatore di infrastrutture critiche, mappatura della supply chain ICT, dipendenze da fornitori critici, ecc.

Sì, identificato e comunicatoParzialmenteNo, non ancora

ID.BE-2: Il posizionamento dell'organizzazione nel settore e nelle infrastrutture critiche è identificato e comunicato? *

Settore di appartenenza (energia, finanza, sanità, trasporti, ecc.), ruolo nelle infrastrutture critiche nazionali o settoriali, obblighi normativi derivanti, ecc.

Sì, identificato e comunicatoParzialmenteNo, non ancora

ID.BE-3: Le priorità della missione, degli obiettivi, delle tecnologie e dei requisiti normativi sono definite e comunicate? *

Mission e vision aziendale legate alla cybersecurity, obiettivi strategici, compliance a normative (NIS2, GDPR, ISO 27001, ecc.), priorità operative, ecc.

Sì, definite e comunicateParzialmenteNo, non ancora

ID.BE-4: Le dipendenze e le funzioni critiche per l'erogazione dei servizi essenziali sono identificate e documentate? *

Sistemi e processi critici per la business continuity, dipendenze da fornitori terzi, servizi essenziali, funzioni irrinunciabili per la missione aziendale, ecc.

Sì, identificate e documentateParzialmenteNo, non ancora

ID.BE-5: I requisiti di resilienza per supportare l'erogazione dei servizi critici sono definiti per tutti gli stati operativi? *

Requisiti di RTO/RPO, piani di continuità operativa (BCP), piani di disaster recovery (DRP), scenari di crisi e degrado operativo, ecc.

Sì, definiti e documentatiParzialmenteNo, non ancora

ID.AM

ID.BE

ID.GV

ID.RA

ID.SC

NIST Cybersecurity Framework 2.0

IDENTIFY (ID)

ID.GV – Governance

Le policy, i processi, le procedure e le pratiche per la gestione e il monitoraggio dei requisiti di cybersecurity dell'organizzazione sono compresi e informatizzano la gestione del rischio di cybersecurity.

ID.GV-1: La policy di cybersecurity dell'organizzazione è definita, approvata dalla direzione e comunicata a tutto il personale? *

Policy di sicurezza informatica, procedure documentate, standard interni, comunicazione alle parti interessate, revisione periodica, ecc.

Sì, definita e comunicataParzialmenteNo, non ancora

ID.GV-2: I ruoli e le responsabilità in materia di cybersecurity sono coordinati e allineati con i ruoli interni e con i partner esterni? *

Coordinamento CISO/IT/management, responsabilità verso fornitori e partner, accordi contrattuali sulla sicurezza, procedure di escalation, ecc.

Sì, coordinati e allineatiParzialmenteNo, non ancora

ID.GV-3: I requisiti legali e normativi in materia di cybersecurity (inclusi privacy e obblighi di segnalazione) sono compresi e gestiti? *

GDPR, NIS2, normative di settore, requisiti contrattuali, obblighi di notifica degli incidenti, protezione dei dati personali, ecc.

Sì, compresi e gestitiParzialmenteNo, non ancora

ID.GV-4: I processi di governance e di gestione del rischio affrontano in modo esplicito i rischi di cybersecurity? *

Integrazione della cybersecurity nel risk management aziendale, reportistica al board/CDA, metriche di rischio, budget dedicato alla sicurezza, ecc.

Sì, integrati nei processi di governanceParzialmenteNo, non ancora

ID.AM

ID.BE

ID.GV

ID.RA

ID.SC

NIST Cybersecurity Framework 2.0

IDENTIFY (ID)

ID.RA – Risk Assessment

I rischi per le risorse, le operazioni organizzative (incluse missione, funzioni, immagine e reputazione), le risorse organizzative e gli individui vengono compresi dall'organizzazione e possono essere informati per la gestione delle decisioni sui rischi di cybersecurity.

ID.RA-1: Le vulnerabilità degli asset sono identificate, validate e registrate? *

Vulnerability assessment, penetration test, CVE tracking, patch management, scansioni periodiche, ecc.

Sì, identificate e registrateParzialmenteNo, non ancora

ID.RA-2: L'organizzazione riceve informazioni sulle minacce cyber da fonti di threat intelligence? *

ISAC, CERT nazionali/settoriali, vendor advisory, feed OSINT, condivisione con la filiera, ecc.

Sì, in modo strutturatoParzialmenteNo, non ancora

ID.RA-3: Le minacce interne ed esterne all'organizzazione sono identificate e documentate? *

Minacce da insider, cybercriminali, nation-state actors, eventi naturali, errori umani, guasti tecnici, ecc.

Sì, identificate e documentateParzialmenteNo, non ancora

ID.RA-4: L'impatto potenziale e la probabilità che le minacce sfruttino le vulnerabilità sono analizzati e documentati? *

Analisi del rischio, matrici probabilità/impatto, scenari di attacco, valutazione delle conseguenze operative, ecc.

Sì, analizzati e documentatiParzialmenteNo, non ancora

ID.RA-5: Minacce, vulnerabilità, probabilità e impatti sono utilizzati per comprendere il rischio residuo e prioritizzare le risposte? *

Risk register, risk scoring, prioritizzazione degli interventi correttivi, risk appetite definito, ecc.

Sì, processo strutturatoParzialmenteNo, non ancora

ID.RA-6: Le risposte al rischio sono scelte, pianificate, tracciate e comunicate? *

Piano di trattamento del rischio, risk acceptance formale, mitigazione, trasferimento (assicurazione cyber), ecc.

Sì, in modo documentatoParzialmenteNo, non ancora

ID.RA-7: I cambiamenti e le eccezioni alle policy di sicurezza sono gestiti, valutati per impatto sul rischio e documentati? *

Change management, gestione delle eccezioni alle policy, assessment dei cambiamenti infrastrutturali o applicativi, ecc.

Sì, gestiti e documentatiParzialmenteNo, non ancora

ID.AM

ID.BE

ID.GV

ID.RA

ID.SC

NIST Cybersecurity Framework 2.0

IDENTIFY (ID)

ID.SC – Supply Chain Risk Management

I rischi legati alla catena di fornitura (supply chain) della cybersecurity dell'organizzazione sono identificati, stabiliti, gestiti e monitorati, al fine di garantire che fornitori e partner terzi rispettino adeguati requisiti di sicurezza.

ID.SC-1: I processi di gestione del rischio della supply chain sono identificati, stabiliti, valutati, gestiti e concordati con i soggetti interessati dell'organizzazione? *

Policy e procedure di cyber supply chain risk management (C-SCRM), coinvolgimento del top management, integrazione nel risk management aziendale, ecc.

Sì, processo strutturato e condivisoParzialmenteNo, non ancora

ID.SC-2: I fornitori e i partner terzi di sistemi, componenti e servizi ICT sono identificati, prioritizzati e valutati tramite un processo di valutazione del rischio della supply chain? *

Mappatura dei fornitori critici, valutazione del rischio terze parti, questionari di sicurezza, certificazioni richieste (ISO 27001, SOC 2, ecc.), ecc.

Sì, identificati e valutatiParzialmenteNo, non ancora

ID.SC-3: I contratti con fornitori e partner terzi includono misure adeguate a soddisfare gli obiettivi del programma di cybersecurity dell'organizzazione? *

Clausole contrattuali di sicurezza, SLA sulla gestione degli incidenti, obblighi di notifica delle violazioni, diritto di audit, responsabilità condivise, ecc.

Sì, incluse nei contrattiParzialmenteNo, non ancora

ID.SC-4: Fornitori e partner terzi vengono periodicamente valutati tramite audit, test o altre verifiche per confermare il rispetto degli obblighi contrattuali di sicurezza? *

Audit periodici dei fornitori, revisione dei risultati di penetration test, valutazioni di conformità, monitoraggio continuo del livello di sicurezza dei terzi, ecc.

Sì, valutazioni periodiche strutturateParzialmenteNo, non ancora

ID.SC-5: La pianificazione e il testing della risposta agli incidenti e del ripristino vengono effettuati coinvolgendo i fornitori e i provider terzi rilevanti? *

Esercitazioni di incident response con fornitori, test di business continuity che includono terze parti, procedure di escalation verso fornitori critici, ecc.

Sì, con coinvolgimento dei fornitoriParzialmenteNo, non ancora

Questionario completato!

Grazie per aver compilato il questionario di Assessment della Cybersecurity.
Le tue risposte sono state registrate con successo.

Il nostro team analizzerà i dati e ti contatterà con i risultati dell'assessment.

Salva questo link — è il tuo accesso personale per modificare le risposte in futuro: